1 / 23

A SOX törvény alapjai és informatikai vonatkozásai

A SOX törvény alapjai és informatikai vonatkozásai. Dr. Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18. Tartalom. Bevezetés Mi is a SOX? A SOX informatikai vonatkozásai

jules
Download Presentation

A SOX törvény alapjai és informatikai vonatkozásai

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A SOX törvény alapjai és informatikai vonatkozásai Dr.Balla Katalin BME-IIT - SQI Magyar Szoftverminőség Tanácsadó Intézet Kft. CIO’08 Hangszerelés változásszimfóniára Siófok, 2008. 04.17-18

  2. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  3. Bevezetés • Bemutatkozás • Tapasztalatok szoftverfejlesztő cégek körében ismert szoftverminőségi megközelítésekről • Folyamat alapú megközelítések (ISO 9001:2000, (CMM), CMMI, Automotive Spice, AQAP…) • Termék alapú megközelítések (ISO 9126, CC…) • Tanúsítások • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódni látszik ezekhez • Érdemes megvizsgálni a kapcsolódást! A SOX alapjai és informatikai vonatkozásai

  4. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  5. Mi is a SOX? • Sarbanes-Oxley Act of 2002 • „An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes” • Előterjesztette: Paul Sarbanes szenátor és Michael G. Oxley kongresszusi képviselő • A befektetők érdekében született • Szigorú előírásokat ad: • A vállalkozások pénzügyi jelentéseire és ezek előállításával kapcsolatos ellenőrzési rendszerre • A jelentés megbízhatóságára és a kapcsolódó felügyeleti kötelezettségekre • Részletesen kitér az információs erőforrásokkal kapcsolatos műveletek szabályozására A SOX alapjai és informatikai vonatkozásai

  6. Mi is a SOX? • Cél • A „testületi vezetés” erősítése és a befektetők bizalmának visszaállítása • Előzmények • A befektetőket megtévesztő / lakosságot megkárosító hamis pénzügyi jelentések, körbeszámlázás… • Enron, WorldCom, Texaco, Conseco, Suprema Specialities Inc…. • Securities Act of 1933 • Securities Exchange Act of 1943 • Kire vonatkozik • Az USA tőzsdén jelen levő cégekre • Különbséget tesz „nagy” és „kis” cég között • Az ellenőrzési rendszer megfeleléséért és a szükséges óvintézkedések megtételéért a tőzsdén szereplő vállalkozások első számú vezetője és a pénzügyi vezető a felelős A SOX alapjai és informatikai vonatkozásai

  7. Mi is a SOX? • Kiemelt elemek a SOX-ban / a SOX-szal kapcsolatban • Új felelősségek az Igazgatótanács számára • Új felelősségek a tőzsdén jelen levő cégek vezetősége számára • Több hatalmat kap a SEC (Security and Echange Comission ~ USA Értékpapírforgalmat és a tőzsdét felügyelő bizottsága) • A SOX értelmében létrehozták a PCAOB-t az Rt.-k auditorainak felügyeletére (non-profit szervezet, US Public Company Accounting Oversight Board ~ USA Számviteli Felügyeleti Tanács) • Szigorú büntető intézkedések a törvény előírásait be nem tartóknak A SOX alapjai és informatikai vonatkozásai

  8. Mi is a SOX? • Struktúra • Bevezetés • I. Public company oversight board (101.-109. szakasz) • II. Auditor independence (201.-209. szakasz) • III. Corporate responsibility (301.-308. szakasz) • IV. Enhanced financial disclosures (401.-409. szakasz) • V. Analyst conflict of interest (501. szakasz) • VI. Commission resources and authority (601.-604. szakasz) • VII. Studies and reports (701.-705. szakasz) • VIII. Corporate and criminal fault accountability (801.-807. szakasz) • IX. White-collar crime penalty enhancements (901.-906. szakasz) • X. Corporate tax returns (1001. szakasz) • XI. Corporate fraud and accountability (1101.-1107. szakasz) A SOX alapjai és informatikai vonatkozásai

  9. Mi is a SOX? • Pontosan mit ír elő a SOX? Menedzsment 302. szakasz: A CEO/CFO Által kiadott „hitelesítés” Ellenőrzések és folyamatok Menedzsment és auditorok Belső ellenőrzés és pénzügyi jelentés Közzététel / beszámolók 404 szakasz: A felsővezetés éves jelentései és az auditor tanúsítása / hitelesítése Hivatkozás: 906. szakasz A SOX alapjai és informatikai vonatkozásai

  10. Mi is a SOX? • Pontosan mit ír elő a SOX? • A felsővezető + pénzügyi vezető ne csak az anyag helyességét szavatolják (aláírásukkal), hanem az adatok helyességét biztosító ellenőrzési intézkedések, eljárások – a teljes ellenőrzési rendszer megfelelését • Feladatuk az ellenőrzési rendszer megtervezése, kialakítása, karbantartása • A jelentés elkészítése előtt 90 nappal mindig rendszeresen értékeljék a belső ellenőrzési rendszer célnak való megfelelését • Jelentsenek minden hiányosságot, mely negatívan befolyásolja a pénzügyi adatok • Rögzítését • Feldolgozását • Összegzését • Jelentését A SOX alapjai és informatikai vonatkozásai

  11. Mi is a SOX? • Pontosan mit ír elő a SOX? • Gondolni kell a csalás minden lehetőségére, a csalásokat minden eszközzel meg kell akadályozni • A munkatársak ártó szándékkel ne törölhessenek vagy módosíthassanak adatokat • A feljegyzések, dokumentumok védelme A SOX alapjai és informatikai vonatkozásai

  12. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  13. A SOX informatikai vonatkozásai • Az amerikai tőzsdén jelenlevő informatikai cégeknek önmagukra kell alkalmazni a törvényt, annak minden vonatkozásával • A cégek informatikai részlegei, tanácsadók, szoftvergyártók és –forgalmazók támogathatják a SOX-ot alkalmazó cégeket • Folyamatok kialakítása, dokumentálása • Belső ellenőrzési rendszer kialakítása • Dokumentumok, feljegyzések, információ védelmének biztosítása / garantálása • Dokumentumkezelő rendszerek • Informatikai biztonsági megfontolások • A cég üzleti folyamatait és a cégnek az üzleti életben való boldogulását támogató alkalmazói rendszerek • Minden szempontból vizsgált megbízható működés A SOX alapjai és informatikai vonatkozásai

  14. A SOX informatikai vonatkozásai • Az alkalmazói rendszerek funkcionális megfelelőségéből és adataik érzékenységéből a törvény szerint eredő követelmények A SOX alapjai és informatikai vonatkozásai

  15. A SOX informatikai vonatkozásai • Követelmények a cég dokumentációs rendszerére és az auditorok dokumentumkezelésére vonatkozóan A SOX alapjai és informatikai vonatkozásai

  16. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  17. Hozzáférhető ellenőrzési keretrendszer • 2006: IS Control Objectives for Sarbanes-Oxley • A SOX követelményeinek informatikai oldali kezelésére 2006-ban • A 404. szakasz követelményeinek kielégítésére • COSO • ISACA ???? • 1985: Comission of Fraudulent Financial Reporting • 2003: a SEC javasolja a COSO-t = szabvány • 1992: COSO Framework : Internal Control • 2004: COSO Framework: Integrated Enterprise • COBIT • ITIL • ISO 27701 : Information Technology –Security techniques – Information security management systems - Requirements • CMMI A SOX alapjai és informatikai vonatkozásai

  18. A COSO célja • Belső ellenőrzési keretrendszer leírása, amely • Egy közös … 2.4.3. fejezet, 3. oldal • A vállalati belső ellenőrzési rendszer a COSO értelmezésében • Ennelőrzési környezet • Kockézatbecslés • Ellenőrtési tevkenységek • Információ és kommunikáció • felügyelet A SOX alapjai és informatikai vonatkozásai

  19. Hozzáférhető ellenőrzési keretrendszer • A COSO implementálása • A rajz hogy mit mivel támogatunk (felépül, több slide-on keresztül) A SOX alapjai és informatikai vonatkozásai

  20. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  21. Hogyan támogatja a CMMI a SOX-ot? A SOX alapjai és informatikai vonatkozásai

  22. Tartalom • Bevezetés • Mi is a SOX? • A SOX informatikai vonatkozásai • Hozzáférhető ellenőrzési keretrendszer • Hogyan támogatja a CMMI a SOX-ot? • Következtetések A SOX alapjai és informatikai vonatkozásai

  23. Következtetések • A SOX megjelent a „szoftverminőségi szabványok” között, kapcsolódik ezekhez • …bár nem szoftverminőségi szabvány! • Sok más szabvány / megközelítés alkalmazása szükséges ahhoz, hogy a SOX-ból eredő követelmények informatikai vonatkozásait megértsük, alkalmazzuk A SOX alapjai és informatikai vonatkozásai

More Related